id:esecua
ポイントあり60ptベストアンサーあり
コンピュータウェブ制作

(PHP) ログインページ http://hoge/login.php というページがあります。このページはパスワードとIDを check.php に送っています。


しかしこの場合だとhttp://hacker/fake_login.php でも<from action=" のところを http://hoge/check.php まで指定してしまえばログインできてします。他のサーバーからのデータの送信を拒否するにはどうしたらいいのでしょうか?

リファーラを調べるという方法もありますが、ブラウザの種類やセキュリティソフトなどでリファーラを送信しない場合もあるためNGです。

そのほかの方法で対策できる方法がありましたら教えてください。

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2006/03/19 11:21:13
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:aki73ix No.1

回答回数5224ベストアンサー獲得回数27

ポイント60pt

まず、http://hoge/login.php にアクセスしたときにセッションIDを発行&記録し、FORMのパラメータに渡し、http://hoge/check.php へアクセスした時に、一定時間内に発行したセッションIDでなかったらエラーにするというのはいかがでしょうか?

もしくは、login.phpにアクセスしてきたIPアドレスとUserAgentを一定時間保存しておき、保存リストの中にcheck.php にアクセスしてきたユーザーなら許可するという方法もありますね

これらの方法なら、ブラウザに依存しないで処理することができると思います

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole...

コメント(0件)

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ